Az észak-koreai hekkerek újabb trükkje: kártevők a blokkláncon

Az észak-koreai hekkerek legújabb módszere az EtherHiding, amellyel kártékony programokat rejtenek el okosszerződésekben, hogy azokat megtévesztő állásinterjúk során osszák meg fejlesztőkkel. Ezek az akciók általában úgy kezdődnek, hogy valósnak tűnő cégek – például a BlockNovas LLC vagy az Angeloper Agency – fejvadászaiként próbálnak kapcsolatba lépni szoftverfejlesztőkkel és webfejlesztőkkel.

Így működik az EtherHiding

Az EtherHiding lényege, hogy a támadók a payloadokat (káros kódokat) közvetlenül nyilvános blokkláncokra, például a Binance Smart Chain-re vagy az Ethereumra töltik fel, okosszerződésekbe ágyazva. A blokklánc sajátosságai – névtelenség, cenzúraállóság és olcsó, gyakori frissítési lehetőség – tökéletes fedőréteget adnak a támadásoknak. A káros kód letöltése ráadásul úgynevezett read-only hívásokkal történik, így a műveleteknek nincs nyoma a tranzakciós naplóban.

Célkeresztben a fejlesztők

A kiválasztott áldozatokat álinterjú során ráveszik, hogy futtassanak le egy technikai feladathoz kapcsolódó kódot. Ez a kód egy JavaScript letöltőt futtat (JADESNOW), amely a blokkláncról tölt le egy második szintű kártevőt (InvisibleFerret). Ez a kártevő a gép memóriájában fut, újabb modulokat tölt be, jelszavakat, hitelkártyaadatokat, kriptotárca-információkat gyűjt, majd ZIP-fájlokban küldi tovább parancsvezérlésű szerverekre vagy akár a Telegramra.

A védekezés lehetőségei

A támadók gyakran módosítják az okosszerződéseket – négy hónap alatt több mint húsz alkalommal, mindössze 500 Ft frissítésenként –, így gyorsan változtathatnak kampányuk részletein. A szakértők szerint minden gyanús letöltést izolált környezetben érdemes tesztelni, illetve erős böngésző- és letöltési korlátozásokat kell bevezetni a vállalati rendszereken, különösen a kockázatos állományokra.

2025, adrienne, www.bleepingcomputer.com alapján